Boz37 (Auteur du topic), Posté le: Mar 27 Aoû 2013, 11:25 Sujet du message: Connexion VPN sortante impossible depuis peu
Connexion VPN sortante impossible depuis peu9156985215
Bonjour,
Pour mon travail j'ai besoin d'établir des connexion VPN depuis mon PC via un client VPN des plus standard vers un serveur VPN distant chez mes clients.
Tout fonctionnait sans problèmes et sans rien modifier de ma Freebox révolution jusque là mais depuis peu (1 ou 2 semaines je pense) cela ne fonctionne plus, impossible de contacter le serveur distant.
Peut être qu'en ouvrant certains ports SORTANTS je pourrais résoudre le problème mais il n'est pas possible d faire ça avec la Freebox révolution qui ne permet l'ouverture que de port ENTRANTS.
Je précise que je ne suis pas le seul car j'ai 2 autres personnes dans mon entourage dans le même cas depuis peu aussi.
grecbenoit, Posté le: Mar 27 Aoû 2013, 12:53 Sujet du message:
8446578637
Bonjour,
Est ce que tu as connaissance des ports qu'utilise le client de ton VPN ?
sinon,il faut que la réponse au ping soit activé sur le Server.
essaye de faire un test en passant l'IP de ton VPN en DMZ sachant que le DMZ est moins sécurisant.
As tu également regardé coté Firewall, peut être une MAJ ?
Arrives tu a te connecter au site Internet du VPN par le navigateur ? car il faut peut être forcer les DNS dans le client VPN ou utiliser d'autre DNS au niveau de la carte réseau (ceux de Google par exemple 8.8.8.8 et 8.8.4.4).
Donc dans l'ordre et après avoir vérifié que la réponse au ping est activé :
- Fait un test en mettant les DNS de Google ou autres ?
- Fait un test en désactivant le firewall
- Fait un test en mettant l'IP en DMZ
Dernière édition par grecbenoit le Mar 27 Aoû 2013, 13:11; édité 1 fois
Boz37 (Auteur du topic), Posté le: Mar 27 Aoû 2013, 13:10 Sujet du message:
9156985215
Bonjour,
Merci pour ta réponse mais le problème ne vient pas du coté serveur car je ne peux plus me connecter sur aucun serveur VPN.
Ce problème n'est que depuis une connexion Free (pas seulement la mienne).
De plus c'est pour faire du VPN en sortant d'une connexion Free pas pour y entrer donc le DMZ ne pourra pas m'aider.
J'ai posté le même message sur un autre forum destiné à Free et une autre personne a le même problème que moi et mes connaissance depuis le 18 aout et une autre ne peux plus faire de radius, preuve que Free a changé quelquechose concernant les connexion sécurisés
grecbenoit, Posté le: Mar 27 Aoû 2013, 13:17 Sujet du message:
8446578637
Boz37 a écrit:
Bonjour,
De plus c'est pour faire du VPN en sortant d'une connexion Free pas pour y entrer donc le DMZ ne pourra pas m'aider.
Salutations.
Je me suis mal exprimé, je pense que ça peux fonctionner si c'est une histoire de port.
donc il faut mettre l'IP de ton PC sur le quel tourne le client VPN en DMZ
c'est ce que je voulais dire précédemment.
ghisb74fr, Posté le: Mar 27 Aoû 2013, 14:10 Sujet du message:
6763061478
grecbenoit a écrit:
il faut mettre l'IP de ton PC sur le quel tourne le client VPN en DMZ
c'est ce que je voulais dire précédemment.
A mon avis, ça ne marchera pas mieux comme ça, et en plus c'est un gros risque de hack du poste client, car toutes les requêtes arrivant sur la Freebox arriveront directement sur le client.
Ce qui est sûr c'est qu'en thérorie (hors modifications récentes de Free), il n'y a pas de restriction de port en sortie.
La connexion étant initiée par le client, il n'y a rien à changer sur les ports entrant de la Freebox.
Sur le poste client, n'y aurait t'il pas un parefeu (Windows, ou autre) ?
Depuis le poste client, est ce qu'un "ping" renvoie quelque chose (un client VPN va généralement pinger le serveur avant de tenter de se connecter).
grecbenoit, Posté le: Mar 27 Aoû 2013, 14:28 Sujet du message:
8446578637
ghisb74fr a écrit:
grecbenoit a écrit:
il faut mettre l'IP de ton PC sur le quel tourne le client VPN en DMZ
c'est ce que je voulais dire précédemment.
A mon avis, ça ne marchera pas mieux comme ça, et en plus c'est un gros risque de hack du poste client, car toutes les requêtes arrivant sur la Freebox arriveront directement sur le client.
Ce qui est sûr c'est qu'en thérorie (hors modifications récentes de Free), il n'y a pas de restriction de port en sortie.
La connexion étant initiée par le client, il n'y a rien à changer sur les ports entrant de la Freebox.
Sur le poste client, n'y aurait t'il pas un parefeu (Windows, ou autre) ?
Depuis le poste client, est ce qu'un "ping" renvoie quelque chose (un client VPN va généralement pinger le serveur avant de tenter de se connecter).
Je suis d'accord avec toi concernant la sécurité du DMZ
sinon j'avais également pensé à un soucis de DNS, tu pense que ça peux venir de ça ?
grecbenoit, Posté le: Mar 27 Aoû 2013, 15:10 Sujet du message:
8446578637
noooop a écrit:
Une société de support (qui se charge du VPN pour ma société) a essayé de débugger le problème, voici le message qui semble expliquer le problème :
VPN negotiation fails on MM Packet 4 because the IKE packet is too big due To multiple NAT-Discovery entries (payloads).
On utilise CheckPoint comme firewall/VPN.
La solution serait de mettre à jour vers la dernière version du logiciel.
Je ne sais où on pourrait s'adresser du côté de chez Free pour résoudre ce problème...
Bonjour,
De mémoire, j'avais lus il n'a pas longtemps sur des forum que le faite d'ouvrir les ports 500 et 4500 en UDP permet de résoudre ce problème.
Sinon est ce que le client VPN est à jour ?
Si le client fait des ouverture automatique de port, il faut que le UPnP IGD soit activé.
Sinon Free n'a pas déployé de MAJ depuis un moment, alors pourquoi ça ne marche plus ?
Dernière édition par grecbenoit le Mar 27 Aoû 2013, 15:13; édité 1 fois
noooop, Posté le: Mar 27 Aoû 2013, 15:12 Sujet du message:
5324048041
grecbenoit a écrit:
noooop a écrit:
Une société de support (qui se charge du VPN pour ma société) a essayé de débugger le problème, voici le message qui semble expliquer le problème :
VPN negotiation fails on MM Packet 4 because the IKE packet is too big due To multiple NAT-Discovery entries (payloads).
On utilise CheckPoint comme firewall/VPN.
La solution serait de mettre à jour vers la dernière version du logiciel.
Je ne sais où on pourrait s'adresser du côté de chez Free pour résoudre ce problème...
Bonjour,
De mémoire, j'avais lus il n'a pas longtemps sur des forum que le faite d'ouvrir les ports 500 et 4500 en UDP permet de résoudre ce problème.
noooop, Posté le: Mar 27 Aoû 2013, 15:31 Sujet du message:
5324048041
grecbenoit a écrit:
noooop a écrit:
Tu te souviens sur quel forum ?
Je testerai dès que possible...
Merci !
Je vais essayé de te le retrouver le lien dans mon historique de navigation.
sinon, ton client VPN est-il à jour, car à mon avis ça peux venir de ça.
A priori (d'après la société qui fait le support) ça serait plutôt le serveur VPN qu'il faudrait mettre à jour (le client est le UP To date pour la version du serveur).
Boz37 (Auteur du topic), Posté le: Mar 27 Aoû 2013, 15:46 Sujet du message:
9156985215
Bonjour,
J'utilise un client natif Microsoft pour me connecter sur des VPN Microsoft et bien que pour moi l'ouverture de port entrant n'a rien à voir dans la résolution possible du problème, j'ai quand même testé les 3 ports que ma connexion VPN utilise à savoir:
Inbound UDP destination port = 500 (0x1F4)
Allows Internet Key Exchange (IKE) trafic To the VPN Server.
Inbound UDP destination port = 4500 (0x1194)
Allows IPsec NAT Traversal (NAT-T) trafic To the VPN Server.
Inbound IP Protocol ID = 50 (0x32)
Allows IPsec Encapsulating Security Payload (ESP) trafic To the VPN Server.
Comme je le pensais, l'ouverture de ports entrants n'a rien changé puisque j'essaye d'établir une connexion sortante...
Si au moins on pouvait agir sur les ports sortants, je ferai ceci et à coup sûr le problème serait résolu car je suis persuadé que Free a bloqué ces ports... :
Outbound UDP source port = 500 (0x1F4)
Allows IKE trafic from the VPN Server.
Outbound UDP source port = 4500 (0x1194)
Allows IPsec NAT-T trafic from the VPN Server.
Outbound IP Protocol ID = 50 (0x32)
Allows IPsec ESP trafic from the VPN Server
Vous ne pouvez pas poster de nouveaux sujets dans ce forum Vous ne pouvez pas répondre aux sujets dans ce forum Vous ne pouvez pas éditer vos messages dans ce forum Vous ne pouvez pas supprimer vos messages dans ce forum Vous ne pouvez pas voter dans les sondages de ce forum